Валюта $63.76 €71.19 Brent$59.31

Информационная опасность: иллюзии и реальность

епифанцева

Юлия Епифанцева

директор по развитию бизнеса PROMT в России

В 2015 году наша страна заняла второе место по числу известных утечек – такую статистику предоставила компания InfoWatch. Всего было зарегистрировано 118 случаев утечки важной корпоративной и конфиденциальной информации как из госорганов, так и госкорпораций и крупных компаний.

На первый взгляд, это не так много. Если не забывать, что речь идет о конфиденциальных данных – например, реквизитах пластиковых карт, номерах социального страхования, финансовой отчетности компании или тендерах и прочих сведений, разглашение которых может стоить карьеры, финансовых убытков, репутации и прочих неприятных вещей (промышленный шпионаж тоже никто не отменял. Кстати, 2% конфиденциальной информации, попавшей в руки злоумышленников – это гостайна).

По статистике аналитического центра SearchInform, в 2015 году с проблемой утечки данных столкнулось 50% российских компаний, тогда как в 2013 году результаты были почти в два раза ниже — 28%. Как правило, во всем винят хакеров – многие помнят скандалы, связанные с публикацией в 2014 году в открытом доступе переписки чиновников и архивов крупных компаний группировкой «Шалтай-Болтай» (он же – «Анонимный интернационал») или международный скандал, вызванный Эдвардом Сноуденом в 2013 году.

Однако, как показывает статистика, в 51,2% случаев утечки происходит по вине или оплошности сотрудников. Печально обстоят дела в госсекторе: 70% электронных адресов, которые оставляют для связи российские чиновники на сайте госзакупок, расположены в доменах, принадлежащих Mail.ru и «Яндексу». Еще около 2% чиновников оставляет в качестве контактных данных почту GMail или Microsoft. Подобные необдуманные действия порой приводят к крупным скандалам: в свое время так попалась Хиллари Клинтон, которая воспользовалась личной почтой для пересылки важных данных под грифом «совершенно секретно» и касающихся государственной тайны. Причем это происходит даже при наличии корпоративной почты – идея объединить личный и рабочий «мейл» соблазнительна, но риски слишком велики, и тут должна включаться ответственность.

Не почтой электронной единой сыты: каналов утечек информации гораздо больше и многие из этих каналов не такие очевидные. С каждым годом растет процент утечек через веб-браузеры и Cloud – и на сегодняшний день они составляют 45% от общего количества. При освещении крупных информационных скандалов обычно фигурируют облачные сервисы вроде Gmail, Mail, Dropbox, WhatsApp, однако часто упускаются из виду такие важные для ряда отраслей каналы, например, онлайн-сервисы перевода, которые активно используются многими в рабочих целях как удобный и практичный инструмент. И тут совсем не имеет значения, на чьих серверах они расположены и какими компаниями разработаны – российскими или западными. Все бесплатные «облака» так или иначе связаны с остальной интернет-средой. Кроме того, сервисы собирают, обрабатывают и анализируют любую попадающую к ним информацию и могут предоставить ее, например, спецслужбам в случае запроса. Любой контент может быть обработан: например, проведен статистический и лингвистический анализ, который покажет частоту употребления тех или иных слов, в связке с событиями, именами, цифрами, источниками, фактами и т.д.

Даже если пользователь не указывает на сервисе онлайн-переводчика свои персональные данные или данные организации, то переводит он там информацию, которая может непосредственно касаться деятельности госоргана, в котором он служит, или компании, где он работает. Как правило, во многих фирмах на первом месте по потребности стоит перевод деловой переписки: внутри организации, с клиентами, с партнерами, на втором – перевод документов, которые содержат юридическую, финансовую, технологическую информацию о компании, ее деятельности и интересах. И все это может оказаться одним нажатием кнопки в «черном ящике» — на сервисе онлайн-переводчика, и тут не спасут даже десять уровней защиты внутри корпорации, где с одной стороны все идеально (переписка по корпоративной почте, соответствующие блокировщики), а за переводом сотрудники свободно обращаются на Google Translate.

Вспомним цитату того же Эдварда Сноудена в одном из интервью: «Я не пользуюсь Google и не пользуюсь Skype. Это отличные сервисы, но совершенно ненадёжные в плане безопасности данных». Не хочется, чтобы законодательные инициативы, направленные на снижение утечек конфиденциальной информации как в госсекторе, так и в госкорпорациях и крупных компаниях, остались на уровне «все взять и запретить». Обеспечение информационной безопасности не должно сказываться на качестве и скорости процессов. Намного важнее выявление информационных угроз и методы их решения: замена на безопасные и во многом более эффективные сервисы, чтобы исключить утечки через облачные сервисы в агрессивную «внешнюю среду.